vSwitch mit mehreren vLAN - schlechte Idee?

[MarroniJohny]

Hi

Bislang hatte ich immer mehrere vSwitches, und bin die ungetagged mit mehreren Strippen angefahren. Jetzt habe ich eine neue Firewall, und fahre einen einzelnen vSwitch getagged mit einem Kabel an.

Nun habe ich das Problem, dass zum Teil Verbindungen verloren gehen. Sprich ich habe in einem vLAN "Labor" einen Gameclient, welcher in einem anderen vLAN "DMZ" mit einem Gameserver verbunden ist. Aber alle 2-3 Tage verliert der Client die Verbindung zum Server.

Mag sein, dass es an der neuen China 10 Gbit NIC im ESXi liegt. Komisch ist nur, dass die meisten Clients die Verbindung halten. Gibt es halt immer wieder, dass ein einzelner Client die Verbindung verliert. Die anderen verbundenen Clients merken nichts davon. Auch von meinem Desktop aus passiert das dann und wann mal. Allerdings gehe (muss) ich am Desktop über Mozilla VPN raus.

Habe halt das Gefühl, dass es ohne die vLAN Geschichte über den pSwitch irgendwie stabiler lief. Und da auch der Client innerhalb des vSwitches die Verbindung verliert alle paar Tage, dachte ich, es ist eher ein Problem auf dem ESXi intern. Ist ja nicht so, dass da netzwerktechnisch alles zusammen bricht.

Physischen Switch gibt es nicht im neuen Setup. Zumindest keiner, welcher damit im Zusammenhang steht. Einfach Modem/Router per doppelt NAT an Firewall, und von da getagged weiter zum ESXi.

Wie könnte ich das Problem weiter eingrenzen?

Gruss und danke!

[Dayworker]

Ich will dich nicht unwissend lassen, aber bei der Thematik bin ich leider raus.

[~thc]

Nur zur Klärung: vSwitches haben kein VLAN tagging - nur Portgruppen.

Wie hast du das genau realisiert, dass Pakete VLANs überschreiten können ("Labor" <-> "DMZ")?

[MarroniJohny]

Hi

So habe ich das konfiguriert:

In der FW habe ich Regeln, dass die VLANs zwar raus, aber nicht untereinander telefonieren dürfen:

Also geht das Labor Netz raus (durch doppelt NAT), und kommt dann an der öffentlichen IP wieder rein. Die OPNsense ist ein eigenes Blech, nicht virtualisiert, oder so.

[~thc]

Also muss der "interne" Client vom "Labor" ins "DMZ" den gleichen, komplexen Weg durchlaufen wie externe Clients. Damit ist für mich deine These "Und da auch der Client innerhalb des vSwitches die Verbindung verliert alle paar Tage, dachte ich, es ist eher ein Problem auf dem ESXi intern." nicht nachvollziehbar.

Einen solchen nicht-systematischen Fehler in so einem komplexen Setup zu finden, ist kein Spaß.

Ich würde direkt am Verbindungsabriss ansetzen. Wenn er auftritt, was ist Netzwerk-technisch am Client zu beobachten? Physischer Abriss (OSI Level 1)? ARP (OSI Level 2)? IP (OSI Level 3)?

[MarroniJohny]

Hi

Glaube der Gameclient fliegt einfach raus, aber sonst läuft die Maschine normal weiter. Also keinen Abbruch der Verbindung des Gasts festzustellen. Wie gesagt, der Fehler tritt irgendwann mal random alle paar Tage auf. Hatte es aber schon live beobachtet, und sonst nicht wirklich eine Beeinträchtigung der VM festgestellt.

Habe ein bisschen die NIC aus China in Verdacht. Ist eine inspur X540. In der Firewall stecken auch drei X540, die sind aber fest verbaut. Hat auch überall ECC RAM drin. Und der Modem/Router ist bislang ja unauffällig gelaufen.

Gruss

[irix]

Wir machen seit 2008 und dem Start mit Virtual Infrastructure 3.5 immer Tagged VLANs und hatten bis Dato niemals eine schlechte Erfahrung in der Form das man gesagt haette die VLAN IDs sind schuld. Ich hab Umgebungen mit bis zu 100 Portgruppen und entsprechend viele VLANs. Ob vDS oder VSS macht keinen Unterschied.

Wenn vDS dann haben wir auch hier und dort Private VLANIDs am Start.

Gruss
Joerg

[MarroniJohny]

Hmm, witzig. Der Gameclient braucht einen USB Dongle, der steckte bislang am Host. War das Game aber mal in der Lobby, konnte man den vom Gast trennen, lief alles weiter.

Nun habe ich die Dongles an einem Dongleserver. Wie soll ich sagen? Der Gameclient hat seither nicht einmal die Verbindung verloren.

Der Dongle hat aber rein gar nichts mit Netzwerk zu tun. Zumindest glaube ich das, sind so billig Chinadinger. Der Host lässt sich auch nicht starten, wenn die eingestöpselt sind. Das endet zwangsläufig in einem PSOD. Ganz koscher sind die Dinger also nicht. Verstehe wer will, und was das mit dem Netzwerk zu tun hat.

[MarroniJohny]

Hoi

Mal späte Rückmeldung. Auch die Clients vom Dongleserver hatten gerne mal die Verbindung verloren. Meist nur die Clients auf dem ESXi, der Client auf dem Desktop blieb verbunden. Der Dongle Server läuft atm. mangels Switch auf einem eigenen Interface/VLAN an der Sense.

Habe mal auf der Sense bei den Advanched Firewall Settings > Firewall Optimations auf "high latency" umgeschaltet. Ausserdem habe ich jetzt zwei Phoenix Server: einen für die Chinesen, einen für den Rest der Welt. Beim Chinesenserver habe ich atm. so 4000 Zugriffe pro Tag. Die spamen z.T. voll die Lobby zu, und machen unzählige Sessions auf. Aber seit den genannten Optimierungen läuft es mehr oder weniger durch, ohne disconnects.

Baue demnächste eh alles komplett um. Habe einen neuen Core Switch; zwei Switches, AP, Shellys, Kabel und Stecker fehlen noch. Nacher wird kein Stein mehr auf dem anderen stehen. Bin atm beim "neuen" Netzwerk bei 17 VLAN.

Wird dann spannend, wenn alles neu steht. Waren glaube ich sowohl Probleme bei der Firewall, als auch beim ESXi. Vielleicht auch die China X540 im ESXi, der traue ich auch noch nicht so 100%ig über den Weg.

Gruss